ACS
cisco的一个安全访问控制系统
ACS= access control system
ACS是Cisco出的一个 AAA 认证软件,可以对路由器进行用户认证、授权、记账操作。

AAA的认证

AAA是认证授权统计的总称。一般是先认证,然后授权,再统计被认证授权的用户对资源的访问情况。

下面路由器作为认证服务器来做AAA,认证的实验。

如下图:

clip_image002

下面来做AAA认证试验:

首先搭建环境:

在R6路由器上-----AAAserver

Router>en

Router#config t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#host R6

R6(config)#enable password 123

R6(config)#line vty 0 4

R6(config-line)#password 456

R6(config-line)#login

R6(config-line)#exit

R6(config)#int fa2/0

R6(config-if)#ip add 192.168.1.1 255.255.255.0

R6(config-if)#no shut

R6(config-if)#

R6(config-if)#end

R6#

在计算机上设置好IP:192.168.1.2C:\>ping 192.168.1.1

Pinging 192.168.1.1 with 32 bytes of data:

Reply from 192.168.1.1: bytes=32 time=79ms TTL=255

Reply from 192.168.1.1: bytes=32 time=21ms TTL=255

Reply from 192.168.1.1: bytes=32 time=65ms TTL=255

Reply from 192.168.1.1: bytes=32 time=27ms TTL=255

Ping statistics for 192.168.1.1:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 21ms, Maximum = 79ms, Average = 48ms

C:\>

网络连通,在计算机上开始telnet登录R6。

C:\>telnet 192.168.1.1

User Access Verification

Password:

R6>enable

Password:

R6#config t

Enter configuration commands, one per line. End with CNTL/Z.

R6(config)#

顺利的登录了R6,并且可获取配置权限。

刚才的 telnet登录的时候,并没有需要用户名。下面我们来做AAA的认证:

在R6上:

R6(config)#aaa new-model 开启AAA认证功能

R6(config)#aaa authentication login xiaoxiao local AAA采用本地数据进行登陆认证;建立认证数据库xiaoxiao

R6 (config)#username jintian password 123 开始建立数据库数据

R6 (config)#username mingtian password 123

R6(config)#username houtian password 123

R6 (config)#line vty 0 4 指定登陆认证采用的数据库名称

R6 (config-line)#login authentication xiaoxiao

客户端测试:

PC上:

clip_image004

clip_image006

clip_image008

认证试验成功

下面做:授权

R6(config)#aaa new-model

R6(config)#aaa authorization exec xiaobai local AAA授权 cmd模式下登陆采用本地数据授权

R6(config)#username xiao2 privilege 4 password 123

R6(config)#username xiao3 privilege 7 password 123

R6(config)#username xiao4 privilege 15 password 123

R6(config)#line vty 0 4

R6(config-line)#authorization exec xiaobai

R6(config-line)#

R6(config-line)#

R6(config-line)#

R6(config-line)#end

开始在PC上测试

clip_image010

clip_image012

做授权:

首先完成认证或者授权:

R6---FA2/0-------------pc

192.168.1.1 192.168.1.55

Router :

Enable

Config t

Int fa2/0

Ip add 192.168.1.1 255.255.255.0

No shutdown

Exit

Aaa new-model

Aaa authentication login default local

Line vty 0 4

Password 456

Login

Exit

Aaa new-model 统计认证或者授权信息

aaa accounting commands 15

exit

debug aaa accounting

试验完成

下面做基于系统的ACS软件生成的TACACS+服务器和radius服务器来实现:AAA认证

clip_image014

PCC:

192.168.1.55

Gw:192.168.1.254

R6:

Enable

Config t

Hostname R6

Int fa2/0

Ip add 192.168.1.254 255.255.255.0

No shutdown

Exit

Int s1/2

Ip add 192.168.2.1 255.255.255.0

No shutdown

Exit

Router rip

Network 192.168.1.0

Network 192.168.2.0

End

R7:

Enable

Config t

Hostname R7

Int s1/5

Ip add 192.168.2.2 255.255.255.0

No shutdown

Exit

Int fa2/0

Ip add 192.168.3.254 255.255.255.0

No shutdown

Exit

Router rip

Network 192.168.2.0

Network 192.168.3.0

End

实现了网络连通:

开始配置ACS软件实现AAA的认证服务器:网络配置

clip_image016

clip_image018

设置客户机和服务器在网络中的位置:认证协议必须一致,这里使用TACACS+

clip_image020

clip_image022

clip_image024

特别注意的是:在接口配置下:不要忽略

clip_image026

clip_image028

clip_image030

然后设定用户:

在R7上:

aaa new-model

aaa authentication login default group tacacs+

tacacs-server host 192.168.3.1

tacacs-server key xiaoxiao

enable password 123

line vty 0 4

login authentication default

end

测试:

telnet 192.168.3.254

----open

Router>en

Password:

Router#config t

Router(config)#

测试实验成功

授权:

现在路由器上配置:

R7:注意授权的配置必须是在认证基础上的,所以必须做好认证:

aaa new-model

aaa authentication login default group tacacs+

tacacs-server host 192.168.3.1

tacacs-server key xiaoxiao

enable password 123

line vty 0 4

login authentication default

end

config t

Aaa new-model

aaa authorization commands 1 default group tacacs+

aaa authorization commands 15 default group tacacs+

tacacs-server host 192.168.3.1

tacacs-server key xiaoxiao

enable password 123

line vt 0 4

authorization commands 1 default

authorization commands 15 default

在wind上,就是TACACS+服务器上:设置授权

clip_image032

clip_image034

在组上设置:定制的策略

clip_image036

在组设置里面选定定制的策略:

clip_image038

在用户设置中:设置访问使用组策略

clip_image040

然后配置完成。

实验测试结果:授权完成

clip_image042

最后做统计实验:

实际上,统计就是对认证和授权访问的记录,也就是说统计是基于认证或者授权的。

aaa new-model

aaa authentication login default group tacacs+

tacacs-server host 192.168.3.1

tacacs-server key xiaoxiao

enable password 123

line vty 0 4

login authentication default

end

config t

Aaa new-model

aaa authorization commands 1 default group tacacs+

aaa authorization commands 15 default group tacacs+

tacacs-server host 192.168.3.1

tacacs-server key xiaoxiao

enable password 123

line vt 0 4

authorization commands 1 default

authorization commands 15 default 认证和授权的配置

Aaa new-model

aaa accounting commands 1 default start-stop group tacacs+

aaa accounting commands 15 default start-stop group tacacs+

tacacs-server host 192.168.3.1

tacacs-server key xiaoxiao

enable password 123

line vty 0 4

accounting commands 1 default

accounting commands 15 default 对认证和授权的统计配置

在winD,也就是ACS服务器上:(不需要配置了,只要查看就可以了)

如下图:

clip_image044

实验完成。